Artykuł ukazał się w Magazynie ODO
Autor: Katarzyna Szczudlik
Niniejsze opracowanie ma na celu przedstawienie obserwacji autorki z zakresu rodzajów podejścia do zarządzania prywatnością u globalnych graczy – na podstawie praktycznych doświadczeń i realnych problemów klientów na przestrzeni kilku ostatnich lat. W dalszej kolejności zostaną omówione główne wyzwania z zakresu prywatności w międzynarodowych organizacjach, a na końcu opracowania znajdzie się opis najczęstszych rozwiązań opisywanych wyzwań.
Zarządzanie zgodnością działania organizacji z przepisami z zakresu ochrony danych osobowych staje się coraz bardziej wymagające z uwagi na inflację przepisów, które należy mieć na względzie, projektując wewnętrzne procedury i procesy z tego zakresu. Nawet w rzadkim przypadku organizacji działających na ograniczonym obszarze Unii Europejskiej nie wystarczy brać pod uwagę tylko Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”) – należy uwzględnić także krajowe odstępstwa od RODO, krajową specyfikę zawartą w przepisach z zakresu prawa pracy, ale także różniące się pomiędzy poszczególnymi krajami Unii Europejskiej uregulowania dotyczące marketingu bezpośredniego (mechanizm konieczności pozyskania wyraźnej zgody na marketing bezpośredni przed wysłaniem komunikacji marketingowej – tzw. mechanizm double opt-in, stosowany np. w Polsce v. możliwość wysyłania komunikacji marketingowej bez uzyskiwania wyraźnej zgody, do chwili zgłoszenia przez podmiot danych sprzeciwu co do wysyłania komunikacji marketingowej – mechanizm opt-out). Oczywiście dochodzą do tego przepisy sektorowe, np. w branży finansowej czy ochrony zdrowia, a także przepisy z zakresu przeciwdziałania praniu pieniędzy i finansowania terroryzmu.
Sytuacja jest jeszcze bardziej skomplikowana w przypadku organizacji działających na skalę międzynarodową, z biur w wielu lokalizacjach na całym świecie. Tego rodzaju sytuacje wymagają specyficznego podejścia do ochrony danych osobowych (czy też „prywatności”, jak określa się tę materię w USA) i wypracowania mechanizmów zarządzania zgodnością w tym obszarze. Mnogość nowych regulacji z zakresu danych osobowych na całym świecie jest trendem dość nowym, dlatego trudno tutaj o wypracowane, ogólnie przyjęte praktyki. Niemniej można już zaobserwować pewnego rodzaju tendencje branżowe, które pozwalają na uzyskanie kontroli nad tym jakże ryzykownym obszarem compliance.
Globalna mozaika prywatności
Źródłem mnogości wyzwań z zakresu prywatności jest niewątpliwie globalna aktywność legislacyjna w tym obszarze. O ile, rzecz jasna, przepisy z tego obszaru istniały także przed wejściem w życie RODO, o tyle trudno oprzeć się wrażeniu, że po 2018 roku ilość inicjatyw uległa zmultiplikowaniu.
W pierwszej kolejności warto podkreślić, że chociażby, jeżeli chodzi o krajowe interpretacje RODO i wynikających z nich obowiązków, pomiędzy państwami członkowskimi istnieją różnice, które mogą wpływać na praktyczne wykonywanie obowiązków wynikających z przepisów dotyczących ochrony danych osobowych. Dobrym przykładem jest tutaj podejście Prezesa Urzędu Ochrony Danych Osobowych („PUODO”), zgodnie z którym dane reprezentantów osób prawnych stanowią dane osobowe, do których zastosowanie ma RODO. Takiego rodzaju podejście nie jest jednak powszechne, a np. maltański organ nadzorczy podchodzi do tego zagadnienia z większą rezerwą. Co więcej, krajowe podejście do RODO może wynikać nie tylko z komunikatów publikowanych na stronach internetowych organów nadzorczych państw członkowskich, ale także decyzji administracyjnych, a czasami, jak we wskazanym powyżej przykładzie, konieczne jest wysłanie zapytania do organu nadzorczego, który może mieć różny „czas reakcji”.
Dodatkową trudność stanowi oczywiście Brexit. Co prawda, Wielka Brytania w dużej mierze ma bardzo podobne podejście do ochrony danych osobowych do tego, które obowiązuje w Unii Europejskiej, planowane są jednak zmiany[1] i bezpiecznie jest założyć, że podejście wyspiarskie do tego tematu może z biegiem czasu coraz bardziej różnić się od podejścia Unii Europejskiej, tym bardziej, że RODO często krytykowane jest jako niepraktyczne, niekorzystne dla innowacji, zniechęcające. Warto jednak podkreślić, że zarówno publiczna działalność brytyjskiego organu nadzorczego, w szczególności poprzez stronę internetową[2], jak i szybkość odpowiedzi na zadawane drogą mailową pytania sprawia, że wiele wątpliwości dot. specyfiki jego podejścia może zostać relatywnie szybko rozwianych.
Zanim odniosę się do niektórych regulacji w pozaeuropejskich jurysdykcjach tytułem przykłądu, warto wspomnieć o kwestii, która stanowi płynne przejście od tematu ochrony danych osobowych w Unii Europejskiej, do tematu ochrony danych osobowych poza Europą, a mianowicie o transferach danych poza Europejski Obszar Gospodarczy. Wyrok w sprawie Schrems II, a następnie przyjęcie nowych standardowych klauzul umownych, spowodowało konieczność wyjątkowego zaangażowania prawników zajmujących się prywatnością, w doradztwo z tego obszaru. Miało to szczególne znaczenie w organizacjach, które mają biura także w USA, a ich procesy wewnętrzne są na tyle zintegrowane, że częstokroć dane osobowe, zarówno pracowników, jak i klientów i kontrahentów, przesyłane są bez głębszej refleksji pomiędzy poszczególnymi jednostkami organizacyjnymi, co tworzy poważne ryzyka w obszarze zgodności działalności organizacji z RODO, a często jest pomijane, szczególnie w podmiotach, które są na wczesnych stadiach rozwoju i korzystanie z nowoczesnych technologii mają niejako w swoim DNA. Przesyłanie danych bez żadnych ograniczeń jest dla nich zupełnie naturalne i nie zakładają, że może to podlegać jakimkolwiek ograniczeniom. To spostrzeżenie będzie mieć także znaczenie dla dalszych rozważań dot. możliwych sposobów zarządzania zgodnością z tymi przepisami przez takie podmioty.
Dodatkową trudnością są także ograniczenia w zakresie transferów danych osobowych z Chin, które zostały wprowadzone przez chińską Personal Information Protection Law („PIPL”)[3]. Co istotne, ograniczenia te są daleko idące i powodują następcze pytania klientów spoza EOG dot. ew. ograniczeń, w tym krajowych, w zakresie transferów danych do Chin.
Kolejnym obszarem, który sprawia szczególną trudność organizacjom działającym na skalę globalną, jest eksterytorialny zakres obowiązywania RODO, wynikający z art. 3 ust. 2 RODO, zgodnie z którym RODO ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii Europejskiej – niezależnie od tego, czy wymaga się od tych osób zapłaty lub monitorowaniem ich zachowania, o ile do tego zachowania dochodzi w Unii Europejskiej. Jest to więc podejście bardzo inkluzywne, mające na celu objęcie regulacjami szerokiego spectrum podmiotów, w celu możliwie najszerszej ochrony danych osobowych podmiotów danych z Unii Europejskiej. Globalni gracze kierujący swoje działania sprzedażowe na terytorium Unii Europejskiej, powinni uwzględnić tę okoliczność w wewnętrznych procedurach dot. prywatności, ale także w publikowanych na stronach internetowych politykach prywatności – częstą praktyką jest wydzielanie osobnego rozdziału poświęconego ochronie danych osobowych zgodnie z RODO.
Różne rodzaje podejścia do zarządzania prywatnością u globalnych graczy
Na przestrzeni kilku lat doradztwa w kwestiach dotyczących ochrony prywatności doszłam do przekonania, że można wyróżnić 4 rodzaje podejścia do zarzadzania prywatnością, które determinują politykę organizacji i preferowane przez nią rozwiązania z zakresu ochrony danych osobowych.
Pierwszy rodzaj podejścia występuje co do zasady u podmiotów, np. z branży przemysłowej czy przemysłu ciężkiego, w których świadomość istotności problemów dot. ochrony danych osobowych jest, upraszając problem i generalizując, najniższa. W tego rodzaju organizacjach często twierdzi się, że nie przetwarzają one danych osobowych – mając oczywiście na myśli dane klientów-konsumentów, ale częstokroć zapomina się nawet o tak podstawowej kwestii jak przetwarzanie np. dużej ilości danych pracowniczych.
Drugie podejście często występuje w start-upach, które co prawda nie twierdzą, że nie przetwarzają danych osobowych, ale jednocześnie świadomie uznają, żeby kwestie zgodności z przepisami z zakresu ochrony danych osobowych odłożyć na później i zająć się nimi na dalszym etapie rozwoju organizacji. Co istotne, w tego rodzaju podmiotach bardzo często dochodzi do wielu transferów danych poza EOG, a także wykorzystywane są zaawansowane narzędzia informatyczne do analizy danych i np. ich profilowania, nie wykluczając wykorzystania także np. algorytmów sztucznej inteligencji.
Kolejne podejście można nazwać „ograniczoną dojrzałością”. Organizacje tego rodzaju mają rozbudowaną świadomość wymogów z zakresu prywatności, w dużym stopniu te wymogi spełniają, jednak pewne obszary powinny zostać u nich ulepszone, w szczególności w zakresie stosowanych rozwiązań informatycznych.
Ostatni rodzaj podejścia to pełen profesjonalizm, w którym nie występują, na szerszą skalę, żadne z wskazanych powyżej mankamentów.
Główne wyzwania z zakresu prywatności w międzynarodowych organizacjach
Z praktycznych obserwacji podejścia do prywatności, szczególnie w organizacjach, w których stopień świadomości ryzyk związanych z tym obszarem jest na poziomie wyższym niż podstawowy, najistotniejszym wyzwaniem jest brak możliwości zastosowania jednego modelu ochrony danych osobowych we wszystkich podmiotach w ramach globalnej organizacji. Nie jest to oczywiście miejsce na wskazywanie wszelkich różnic między poszczególnymi reżimami prywatności, dość jednak wspomnieć, że przykładowo – na gruncie wymienionego powyżej PIPL nie można zastosować uzasadnionego interesu jako podstawy przetwarzania danych osobowych a minimalny wiek, od którego można wyrazić zgodę na przetwarzanie danych osobowych wynosi 14 lat. Z kolei na gruncie kalifornijskiego CCPA zabrania się sprzedaży danych osobowych konsumenta poniżej 16 roku życia bez jego zgody, a taką zgodę mogą wyrazić osoby powyżej 13 roku życia. CCPA nie zapewnia też prawa do sprostowania danych, ograniczenia przetwarzania itp.
Powstaje pytanie, w jaki sposób można odpowiedzieć na wyzwania wynikające z mnogości przepisów prawnych, które mogą mieć wpływ na ochronę danych osobowych?
Najczęstsze rozwiązanie
Wydaje się, że najpraktyczniejszym rozwiązaniem jest ustalenie jednego, globalnego standardu ochrony dla wszystkich podmiotów z grupy, dopasowanego oczywiście do tego, w których jurysdykcjach one operują, a następnie zidentyfikowanie obszarów, które powinny zostać zniuansowane w stosunku do niektórych jurysdykcji, z uwzględnieniem występujących w nich specyficznych rozwiązań prawnych. Wydaje się przy tym, że reżimem, który w miarę bezpiecznie można traktować jako punkt wyjścia, jest reżim RODO. Wiele późniejszych reżimów krajowych albo wprost się na nim opiera (np. prawo szwajcarskie), albo w dużej mierze z niego czerpie. Elementem, który wydaje się jednym z istotniejszych, jest takie opracowanie procesów, aby zapewnić przestrzeganie praw podmiotów danych oraz bezpieczny transfer danych osobowych pomiędzy poszczególnymi jurysdykcjami. Z doświadczenia wynika, że ten ostatni obszar bardzo rzadko jest dostatecznie ustrukturyzowany.
W jaki sposób osiągnąć powyższe? Rzadko, szczególnie w mniejszych organizacjach, jest możliwość zatrudnienia specjalistów z zakresu ochrony prywatności w każdej jurysdykcji, w której przetwarzane są dane osobowe. Bardziej adekwatne wydaje się być wypracowanie globalnego standardu przez inspektorów ochrony danych z głównej jurysdykcji, a następnie jego przefiltrowanie przez wymogi krajowe we współpracy z lokalnymi prawnikami, w celu minimalizacji ryzyk rezydualnych. W dalszej kolejności, optymalne wydaje się wyznaczenie w ramach organizacji koordynatora ds. ochrony danych, który, jeżeli sam nie posiada wystarczającego doświadczenia i wiedzy (co jest częstym przypadkiem) powinien mieć zapewnione wsparcie, przynajmniej w początkowym okresie szkolenia, kancelarii zewnętrznej. Niemniej, zawsze punktem zbierającym wiedzę o ochronie danych w ramach danej organizacji powinien być inspektor ochrony z głównej jurysdykcji.
Podsumowanie
Inflacja przepisów prawa będzie oraz bardziej komplikowała zarządzanie ochroną danych osobowych w organizacjach, przede wszystkim międzynarodowych. Bez wątpienia wprowadzenie dobrych nawyków od początku działalności ułatwia zarządzanie prywatnością na dalszych etapach rozwoju organizacji.
[1] https://ico.org.uk/about-the-ico/our-information/our-strategies-and-plans/ico25-plan/, dostęp 9 sierpnia 2022 r.
[2] https://ico.org.uk/, dostęp: 15 czerwca 2022 r.
[3] Tłumaczenie PIPL na język angielski znajduję się pod adresem: https://iapp.org/resources/article/personal-information-protection-law-peoples-republic-of-china-english-translation/, dostęp: 15 czerwca 2022 r.
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>